Logo Globo Logo Globo
Formulário enviado com sucesso! Form sent successfully!
Erro ao enviar formulário! Error sending form!

Reporte de Vulnerabilidades

Vulnerability Report

×

Como Funciona

How it Works

Este não é um programa de recompensa por bugs. Não oferecemos recompensa ou compensação por identificar problemas. Mas, dentro de nossos critérios, podemos optar por agradecer por insights que façam diferença. This is not a bug bounty program. We do not offer rewards or compensation for identifying issues. However, within our criteria, we may choose to thank for insights that make a difference.
Se você encontrar informações de Identificação Pessoal (PII), por favor pare e entre em contato conosco imediatamente. Não prossiga com o acesso e expurgue no mesmo instante qualquer informação local. Isso protege você e nossos dados. If you find Personal Identifiable Information (PII), please stop and contact us immediately. Do not proceed with access and purge any local information immediately. This protects you and our data.
Nossa política de divulgação se aplica a todos os envios. Nosso procedimento de envio não se destina a funcionários ou afiliados (eles devem entrar em contato diretamente com a Segurança da Informação). Our disclosure policy applies to all submissions. Our submission procedure is not intended for employees or affiliates (they should contact Information Security directly).
Se liga nas regras About Us
É importante seguir as regras para garantir a segurança de todos. Clique no botão "saiba mais" para detalhes. It's important to follow the rules to ensure everyone's safety. Click the "learn more" button for details.
Saiba mais Read More
Hall of Fame
×

Se liga nas regras

About Us

Programa de Divulgação Responsável de Vulnerabilidades

Responsible Disclosure Program

  • A Globo reconhece a importância da comunidade de segurança em ajudar a manter nossos produtos, soluções, sistemas, ferramentas e, em última análise, nossos clientes seguros. Agradecemos antecipadamente por suas contribuições ao nosso programa de divulgação de vulnerabilidades.
  • Globo recognizes the importance of the security community in helping to keep our products, solutions, systems, tools, and ultimately our customers safe. We thank you in advance for your contributions to our vulnerability disclosure program.
  • As diretrizes do Programa de Divulgação Responsável de Vulnerabilidades da Globo descrevem o programa voluntário pelo qual a Globo se engajará com partes que identificam e relatam à Globo possíveis vulnerabilidades de segurança.
  • The Globo Vulnerability Disclosure Program guidelines describe the voluntary program by which Globo will engage with parties who identify and report to Globo potential security vulnerabilities.
  • A Globo esclarece que, atualmente, não oferece compensações financeiras por informações sobre vulnerabilidades de segurança, seja por meio deste ou de qualquer outro programa de recompensas ou divulgação responsável. No entanto, nos reservamos o direito de expressar nosso agradecimento de maneiras distintas por contribuições valiosas que efetivamente contribuam para aprimorar nossa segurança.
  • Globo clarifies that it currently does not offer financial compensation for information about security vulnerabilities, either through this or any other rewards or responsible disclosure program. However, we reserve the right to express our gratitude in distinct ways for valuable contributions that effectively contribute to enhancing our security.
  • A Equipe de Resposta a Incidentes de Cibersegurança da Globo (CSIRT) gerencia a resposta a incidentes para a Globo e coordena internamente conforme apropriado.
  • The Globo Cybersecurity Incident Response Team (CSIRT) manages incident response for Globo and coordinates internally as appropriate.
  • A Globo se esforçará para responder a novos relatórios dentro de 7 dias úteis.
  • Globo will strive to respond to new reports within 7 business days.
  • Clientes e outros usuários autorizados de um produto ou solução da Globo devem contatar as respectivas equipes de Suporte Técnico e Solução da Globo para relatar quaisquer problemas descobertos nos produtos da Globo. Se a equipe de Suporte Técnico e Solução determinar que um problema relatado é uma vulnerabilidade de segurança, ela contatará o CSIRT da Globo, conforme necessário.
  • Customers and other authorized users of a Globo product or solution should contact the respective Globo Technical Support and Solution teams to report any issues discovered in Globo products. If the Technical Support and Solution team determines that a reported issue is a security vulnerability, it will contact the Globo CSIRT as necessary.

Diretrizes do Programa

Program Guidelines

  • Não cause danos à Globo, nossos clientes, parceiros de negócios, afiliadas ou outros;
  • Do not cause harm to Globo, our customers, business partners, affiliates, or others;
  • Não conduza engenharia social, incluindo o uso de táticas de phishing direcionado, ao pessoal da Globo, clientes, parceiros de negócios ou contratados;
  • Do not conduct social engineering, including the use of targeted phishing tactics, against Globo personnel, customers, business partners, or contractors;
  • Não impacte a integridade ou disponibilidade de quaisquer sistemas ou usuários, ou a operação de nossas aplicações, sistemas ou serviços, incluindo ataques de força bruta, de negação de serviço, destruição de dados e interrupção ou degradação de nossos serviços;
  • Do not impact the integrity or availability of any systems or users, or the operation of our applications, systems, or services, including brute force attacks, denial of service, data destruction, and disruption or degradation of our services;
  • Não divulgue publicamente ou compartilhe com terceiros quaisquer vulnerabilidades relatadas sob este programa sem receber nossa autorização expressa por escrito, de acordo com a provisão de confidencialidade abaixo.
  • Do not publicly disclose or share with third parties any vulnerabilities reported under this program without receiving our express written authorization, in accordance with the confidentiality provision below.
  • Não comprometa a privacidade ou segurança de nossos funcionários, clientes ou usuários. Mais precisamente:
    • Não acesse deliberadamente dados de usuários, incluindo, mas não se limitando a, informações pessoais identificáveis (PII) e informações pessoais de saúde (PHI);
    • Entre em contato conosco imediatamente se você acessar inadvertidamente dados de usuários, incluindo, mas não se limitando a dados PII e PHI;
    • Não visualize, altere, salve, armazene, transfira ou acesse tais dados de qualquer outra forma;
    • Elimine imediatamente quaisquer informações locais após relatar a vulnerabilidade;
    • Aja de boa-fé para evitar violações de privacidade.
  • Do not compromise the privacy or security of our employees, customers, or users. More specifically:
    • Do not deliberately access user data, including, but not limited to, personally identifiable information (PII) and protected health information (PHI);
    • Contact us immediately if you inadvertently access user data, including, but not limited to, PII and PHI data;
    • Do not view, alter, save, store, transfer, or otherwise access such data;
    • Immediately delete any local information after reporting the vulnerability;
    • Act in good faith to avoid privacy violations.
  • Forneça uma descrição clara e baseada em fatos da vulnerabilidade, incluindo o alvo, etapas, ferramentas e artefatos usados durante a descoberta (o resumo detalhado nos permitirá reproduzir a vulnerabilidade). Inclua uma descrição e explicação do problema de segurança identificado e prova de conceito (se aplicável);
  • Provide a clear, fact-based description of the vulnerability, including the target, steps, tools, and artifacts used during discovery (the detailed summary will allow us to reproduce the vulnerability). Include a description and explanation of the identified security issue and proof of concept (if applicable);
  • Não inclua informações que possam identificar um indivíduo (como nome, informações de contato ou outras informações semelhantes) em quaisquer anexos incluídos em sua submissão e relatório de vulnerabilidade;
  • Do not include information that may identify an individual (such as name, contact information, or other similar information) in any attachments included in your submission and vulnerability report;
  • Não conduza nenhum tipo de login (interativo ou de sistema) com quaisquer credenciais que possam ter sido obtidas. Se alguma credencial for obtida, relate isso como um vazamento de credencial e especifique a fonte onde a(s) credencial(is) está(ão) ou foi(ram) encontrada(s), como foi(ram) encontrada(s), qual é o impacto esperado (com base no modo de descoberta), e o contexto detalhado sobre o vazamento;
  • Do not conduct any type of login (interactive or system) with any credentials that may have been obtained. If any credential is obtained, report it as a credential leak and specify the source where the credential(s) is (are) or was (were) found, how it (they) was (were) found, what the expected impact is (based on the discovery mode), and detailed context about the leak;
  • Não use nenhuma credencial obtida para "pivotar" ou testar a credencial contra qualquer sistema, serviço ou aplicativo, seja da Globo ou não;
  • Do not use any obtained credential to "pivot" or test the credential against any system, service, or application, whether from Globo or not;
  • Não altere, remova ou faça upload de arquivos em qualquer situação e/ou parte de qualquer exploração de execução de código remoto (RCE). Não leia arquivos de sistema sensíveis ou modifique permissões de arquivo em qualquer situação. Além disso, você não tem permissão para interagir com o sistema operacional subjacente ou serviços ou quaisquer outros componentes, tais como, mas não limitados a bancos de dados, jump servers, servidores de aplicação etc;
  • Do not alter, remove, or upload files in any situation and/or part of any remote code execution (RCE) exploitation. Do not read sensitive system files or modify file permissions in any situation. Additionally, you are not allowed to interact with the underlying operating system or services or any other components, such as, but not limited to databases, jump servers, application servers etc;
  • Não mantenha nenhum tipo de mecanismo de conexão ou persistência, incluindo, mas não se limitando a, netcat, túneis reversos SSH, backdoors, shell reversos, agentes de persistência, scripts de inicialização modificados, ou qualquer outra técnica que permita acesso contínuo não autorizado ao sistema;
  • Do not maintain any type of connection or persistence mechanism, including, but not limited to, netcat, SSH reverse tunnels, backdoors, reverse shells, persistence agents, modified startup scripts, or any other technique that allows continuous unauthorized access to the system;
  • Ao enviar um relatório, você reconhece que está sujeito às Diretrizes do Programa de Divulgação Responsável de Vulnerabilidades;
  • By submitting a report, you acknowledge that you are subject to the Vulnerability Disclosure Program Guidelines;
  • A Globo pode optar por desconsiderar submissões de partes que enviem um grande volume de relatórios de baixa qualidade, incompletos e/ou não acionáveis;
  • Globo may choose to disregard submissions from parties that submit a large volume of low-quality, incomplete, and/or non-actionable reports;
  • Cumpra todas as leis aplicáveis.
  • Comply with all applicable laws.

Submissões Fora do Escopo

Out of Scope Submissions

As seguintes submissões não são aceitas como parte deste programa. Todas as submissões devem demonstrar um impacto de segurança e/ou uma vulnerabilidade.

The following submissions are not accepted as part of this program. All submissions must demonstrate a security impact and/or a vulnerability.

  • Submissões de baixa qualidade ou um "despejo de dados" de ferramentas automatizadas ou varreduras. Tais submissões serão desconsideradas;
  • Submissão de problemas sem um impacto de segurança claramente demonstrado ou que não seja uma vulnerabilidade;
  • Relatórios especulativos sobre e/ou contendo danos teóricos sem evidências tangíveis e concretas ou informações que indiquem um verdadeiro caminho de ataque e exploração;
  • Relatórios de cifras SSL / TLS inseguras sem uma prova de conceito funcional. Relatórios de sites de varredura TLS / SSL não são adequados e são considerados uma submissão relacionada à varredura;
  • Autoscanning ou ataques dentro de uma posição lógica adequada, por exemplo, ataques que envolvem a reciclagem ou reutilização de cookies de sessão;
  • Portas abertas que não levam diretamente a uma vulnerabilidade;
  • Recomendações de melhores práticas / higiene sem risco tangível identificado, incluindo um conceito funcional;
  • Presença de atributos de preenchimento automático em uma aplicação web / formulário;
  • Formulários faltando tokens CSRF (Cross Site Request Forgery), sem evidência da vulnerabilidade CSRF real;
  • Vulnerabilidades de auto cross-site scripting (XSS) sem evidência de como a vulnerabilidade pode ser usada para atacar outro usuário;
  • Ataques distribuídos ou não distribuídos de negação de serviço. Submissões de vulnerabilidades mostrando que um ataque "pode" ocorrer serão revisadas desde que uma vulnerabilidade com detalhes funcionais faça parte da submissão. Não realize nenhum tipo de teste ou simulação de DoS;
  • Submissões que se limitam ao reconhecimento puro de dados (fingerprinting), como Banner Grabbing (por exemplo, identificar o servidor web em uso através de seu banner), sem a demonstração de uma real possibilidade de exploração;
  • Nossas políticas ou configurações e/ou a presença ou ausência de nossos registros SPF / DMARC;
  • Tentativas físicas contra qualquer propriedade da Globo.
  • Low-quality submissions or a "data dump" from automated tools or scans. Such submissions will be disregarded;
  • Submission of issues without a clearly demonstrated security impact or that are not a vulnerability;
  • Speculative reports about and/or containing theoretical damages without tangible and concrete evidence or information indicating a true attack path and exploitation;
  • Reports of insecure SSL/TLS ciphers without a functional proof of concept. Reports of TLS/SSL scan sites are not suitable and are considered a scan-related submission;
  • Autoscanning or attacks within an appropriate logical position, for example, attacks involving the recycling or reuse of session cookies;
  • Open ports that do not directly lead to a vulnerability;
  • Best practices/hygiene recommendations without identified tangible risk, including a functional concept;
  • Presence of autofill attributes in a web application/form;
  • Forms missing CSRF (Cross Site Request Forgery) tokens, without evidence of the actual CSRF vulnerability;
  • Self cross-site scripting (XSS) vulnerabilities without evidence of how the vulnerability can be used to attack another user;
  • Distributed or non-distributed denial of service attacks. Vulnerability submissions showing that an attack "may" occur will be reviewed as long as a vulnerability with functional details is part of the submission. Do not perform any type of DoS testing or simulation;
  • Submissions limited to pure data recognition (fingerprinting), such as Banner Grabbing (e.g., identifying the web server in use through its banner), without the demonstration of a real possibility of exploitation;
  • Our policies or settings and/or the presence or absence of our SPF/DMARC records;
  • Physical attempts against any Globo property.

Software, Serviços e Domínios de Terceiros

Third-Party Software, Services, and Domains

Observe também que problemas de segurança encontrados em ativos de terceiros que não são gerenciados pela Globo são considerados fora do escopo e devem ser relatados diretamente à parte afetada. Quando os problemas relatados ao programa da Globo se originam no serviço de um fornecedor diferente, a Globo reserva-se o direito de encaminhar submissões à parte afetada.

Please note that security issues found in third-party assets not managed by Globo are considered out of scope and should be reported directly to the affected party. When issues reported to Globo's program originate from a different vendor's service, Globo reserves the right to forward submissions to the affected party.

Confidencialidade

Confidentiality

Qualquer informação que você receba ou colete sobre nós, nossas afiliadas, parceiros ou qualquer um de nossos usuários, funcionários, clientes e clientes, ou agentes em conexão com o Programa de Divulgação Responsável ("Informações Confidenciais") deve ser mantida confidencial e usada apenas em conexão com o Programa de Divulgação Responsável.

Any information you receive or collect about us, our affiliates, partners, or any of our users, employees, customers, and clients, or agents in connection with the Responsible Disclosure Program ("Confidential Information") must be kept confidential and used only in connection with the Responsible Disclosure Program.

Aviso Legal

Legal Notice

Você deve cumprir todas as leis e regulamentos aplicáveis em conexão com suas atividades de pesquisa de segurança ou outra participação no Programa de Divulgação Responsável. Ao enviar um relatório de vulnerabilidade à Globo, você concede à Globo, suas subsidiárias e afiliadas, uma licença perpétua, irrevogável e gratuita, sem cobrança de direitos de propriedade intelectual licenciáveis por você em ou relacionados ao uso deste material. Além disso, é importante que você nos avise se algum deste material não for seu de sua autoria ou estiver coberto pelos direitos de propriedade intelectual de terceiros. Não nos notificar significa que você declarou que nenhum direito de propriedade intelectual de terceiros está envolvido.

You must comply with all applicable laws and regulations in connection with your security research activities or other participation in the Responsible Disclosure Program. By submitting a vulnerability report to Globo, you grant Globo, its subsidiaries, and affiliates a perpetual, irrevocable, royalty-free, licensable intellectual property rights license to use this material. Additionally, it is important that you notify us if any of this material is not yours or is covered by the intellectual property rights of third parties. Not notifying us means that you have declared that no third-party intellectual property rights are involved.

Obrigado por ajudar a manter a Globo, nossa presença na internet e nossos clientes seguros!

Thank you for helping keep Globo, our internet presence, and our customers safe!

Hall of Fame
Hall da Fama
Seu empenho em reportar vulnerabilidades pode fazer a diferença na segurança de todos. Contribua com o Programa de Divulgação Responsável e veja seu nome no nosso Hall da Fama. O próximo nome a brilhar aqui pode ser o seu! Your dedication to reporting vulnerabilities can make a difference in everyone's safety. Contribute to the Responsible Disclosure Program and see your name in our Hall of Fame. The next name to shine here could be yours!
Conheça os colaboradores Read More
×

Hall da fama

Hall of fame

Ainda sem participantes! Still without a participant!